讀者來函,明天金盾怎麼準備
既然是明天我想就不用準備了
早起有去考試就很棒了 (誤
國家資通安全研究院(前身為行政院國家資通安全會報技術服務中心)所舉辦的資安系列競賽
包含資安技能及徵件競賽兩大類別,今年(2023) 是第18年頭。
主要為精進學生技術能力及提升全民資安意識,舉辦舉辦「資安技能金盾獎」、「資安海報徵件」及「資安影片徵件」共三項競賽。
其中 資安技能金盾獎 簡稱金盾獎
定義:該過程包括分析軟體的工作原理,通常是通過分析其程式碼,以了解其設計、功能和運作方式。
技巧:瞭解組合語言、使用逆向工具如 IDA Pro、Ghidra、Radare2等,以及了解這個軟體如何被開發者保護以及嘗試攻擊、攻破、繞過防護機制。
定義:可能基於逆向工程,找出和利用程式或系統的漏洞。
技巧:瞭解堆疊緩衝區溢位、格式化字串漏洞、整數溢位等,以及如何編寫 shellcode 。
定義:涉及找出和利用網站和 web 應用程式的安全漏洞。
技巧:SQL注入、跨站腳本(XSS)、跨站請求偽造(CSRF)等網頁漏洞有深入了解,並能利用 Burp Suite、OWASP Zap 等工具進行測試。
定義:通常涉及加解密的訊息、系統或協定。
技巧:了解常見的加密演算法如 AES、RSA,以及如何分析和破解它們。
定義:從數位證據中找到有用的資訊。
技巧:瞭解如何恢復被刪除的檔案、如何系統記錄中擷取資訊,以及使用鑑識工具如 Autopsy 或 Wireshark。
定義:涉及工業控制系統或 SCADA 系統的安全挑戰。
技巧:了解工業控制系統的組件、通信協定如 Modbus、DNP3 ,以及可能的攻擊向量和漏洞。
定義:這些挑戰可能包含其他類別之外的各種問題,如網路流量分析或軟體使用技巧。
技巧:廣泛的知識和技能,能夠快速學習和適應新情況。
可以刷 經濟部產業發展署-iPAS專業工程師考試-資訊安全工程師的初級和中級的考題
https://www.ipas.org.tw/ISE/AbilityPageContent.aspx?mnuno=855dc817-1946-41de-8c50-c6b44e6f0949&pgeno=92664c36-72cf-418c-98a9-c4e8a769dd64
Davidhu127 2019
Xtutlab 2019
William Chang 2019
| 主題 | 詳細說明 |
|---|---|
| 三大屬性 | 1. 保密性 (只有授權的人能訪問) |
| 2. 完整性 (確保資料未被未經授權修改) | |
| 3. 可用性 (確保資訊在需要時可供使用) | |
| 惡意程式 | 1. 病毒 (需要用戶互動才能執行) |
| 2. 木馬 (偽裝為正常軟件但具惡意功能) | |
| 法律 | 台灣的《個人資料保護法》於2012年實施 |
| 指令 | 功能說明 |
|---|---|
| getfacl | 查看文件的訪問控制列表 |
| usermod -a | 在Linux中將用戶添加到使用者組中 |
| attrib | 在Windows中查看或更改檔案屬性 |
| traceroute | 追蹤封包的傳輸路徑 |
| ipconfig | 查看網路設定 |
| 主題 | 詳細說明 |
|---|---|
| 防火牆 | NAT功能,控制網路流量與存取 |
| IDS/IPS | 入侵偵測系統和入侵防禦系統 |
| VPN | 建立安全的網路通道,有PPTP, L2TP, IPsec等協定 |
| 主題 | 詳細說明 |
|---|---|
| 數位簽章 | 使用私鑰進行簽署,公鑰進行驗證 |
| 加密演算法 | 如RSA, ECC等 |
| 安全協定 | 如SSL, SSH, IPSec確保資料傳輸的安全 |
| 攻擊技巧 | 詳細說明 |
|---|---|
| DOS/DDOS | 透過大量請求使伺服器過載 |
| SQL Injection | 在網站的輸入欄位注入惡意SQL指令 |
| XSS | 在網站上注入惡意腳本 |
| 主題 | 詳細說明 |
|---|---|
| 雲端服務模型 | IaaS, PaaS, SaaS |
| 雲端資安策略 | 雲端資料隔離、資料加密存儲和傳輸等策略 |
2023/10/14 大家考試順利
iThome鐵人賽
看影片追技術